htaccess в качестве параметра безопасности и с помощью формы входа

HTAccess — это наиболее безопасный метод защиты паролем, поскольку он опирается на веб-сервер, поэтому действительные имена пользователей и пароли никогда не передаются веб-браузеру и не сохраняются в HTML, как в других скриптах.

Я немного боюсь человека, который изначально написал это предложение.

Имена пользователей и пароли никогда не будут переданы веб-браузеру или сохранены «в HTML», за исключением случаев самого грубого игнорирования гигиенических методов программирования. То, что кто-то даже представил бы это как «вариант» в качестве соломенного аргумента, вызывает беспокойство. Я рекомендую найти лучшего гида.

Механизм htaccess для защиты сервера также немного неверен. Файл .htaccess в каталогах на самом деле предназначен для того, чтобы клиенты на сайтах общего хостинга могли иметь некоторую степень контроля над переменными конфигурации Apache, что совершенно не подходит для «полностью безопасной системы CMS» (как если бы такая вещь была возможность. :) Вы должны иметь полный и тотальный контроль над вашей конфигурацией Apache, включая все аутентификация и авторизация и механизмы управления доступом. Файлы .htaccess повторно загружаются, повторно анализируются и перенастраивают сервер при каждом отдельном запросе, но конфигурация Apache для всего сайта загружается один раз, анализируется один раз и настраивает сервер один раз.

Серверные механизмы основаны либо на базовой аутентификации HTTP (что примерно похоже на выкрикивание вашего имени пользователя и пароль в переполненном помещении) или HTTP-проверка подлинности (что значительно лучше, и если ваши пользователи выбирают хорошие пароли, возможно, даже смутно безопасные). Было бы разумно туннелировать любой из них через TLS. (Черт возьми, если вам действительно нужна "безопасность", вы можете даже попытаться использовать клиентские сертификаты.)

Обратите внимание, что эти механизмы запрашивают у браузера всплывающее диалоговое окно для аутентификации. Если вы хотите интегрировать имя пользователя и пароль на свою веб-страницу «красивым» способом, вам нужно будет выполнить все проверки подлинности имени пользователя и пароля с помощью отправки формы, сохранения информации о сеансе и проверки ваших внутренних механизмов безопасности для обеспечения авторизация всякий раз, когда это необходимо. Вы будете нести ответственность за все. (И, опять же, лучше всего использовать TLS.) Веб-сервер ничем вам не поможет. (И вы больше не будете отправлять логины, пароли в браузер в HTML... ой. Это меня все еще пугает.)

это то, что вы ищете? это позволит вам использовать php-форму для входа через htaccess

<?php
    if (!isset($_SERVER['PHP_AUTH_USER'])) {
        header('WWW-Authenticate: Basic realm="My Realm"');
        header('HTTP/1.0 401 Unauthorized');
        echo 'Text to send if user hits Cancel button';
        exit;
    } else {
        echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
        echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
    }
    ?>

ссылка